1、重邊界防護，輕內部防護，缺乏分區、分域隔離和域內防護措施，一點突破，全網即被突破。

2、基層單位對網絡安全重視不夠，防護措施不到位，成為了網絡攻擊的突破口。

3、重要信息泄露嚴重，大量建設運維方案、網絡拓撲、賬號密碼、系統原始代碼等敏感信息被第三方上傳到共享網站上。

4、在產品供應、安全服務、域名服務等供應安全方面問題突出，重要行業部門對供應商管理措施缺失，成為攻擊跳板。

5、一些重點單位的一些老舊系統和資產清理不及時，往往成為橫向攻擊滲透的跳板。

6、核心系統和設備安全加固手段缺失，缺少精細防護措施，極易攻擊者攻破。

7、一些基層單位對生產控制系統和工控系統的安全重視不夠，缺乏必要的安全防護措施和檢測手段。

8、云管平臺、大數據平臺和集中管理平臺等“神經中樞”防護薄弱。通過控制云管平臺、大數據平臺、域控服務器、堡壘機、殺毒引擎等集權系統，可直搗核心網絡。

9、對云平臺、大數據、物聯網、移動互聯網的安全風險認識不清，防護措施缺乏。

10、郵箱、VPN設備等成為攻擊的重要突破點。攻擊者將視線轉向暴露在互聯網上的郵箱和VPN設備，通過挖掘零日漏洞進行無差別攻擊，突破專用設備，直接攻入內網。

11、是數據安全問題突破。業務數據在多部門中傳遞、應用，數據在存儲、交換、應用過程中防范措施不落實，成為攻擊者重點目標。

12、重要行業應對網絡威脅能力有所提升，但應對網絡戰仍有較大差距。

（1）可以發現一般性攻擊，但面對APT（高級可持續）攻擊毫無察覺；

（2）建立了應急機制，但對零日漏洞等高效網絡武器毫無應對能力；

（3）采取了一些有效的技術手段，但沒有形成聯動合力。

法律依據：

第二十一條 國家實行網絡安全等級保護制度。

第三十一條 關鍵信息基礎設施，在網絡安全等級保護制度基礎上，實施重點保護。

2018年，公安部牽頭制定《網絡安全等級保護條例》

深化落實網絡安全等級保護制度

構建以保護關鍵信息基礎設施和大數據安全為重點的網絡安全等級保護制度。

1、建立關鍵信息基礎設施保護制度。（中央網絡信辦和公安部雙牽頭）

2、加強能源、金融、通信、交通等重要領域關鍵信息基礎設施安全保護。（中央網信辦和公安部雙牽頭）

1、深入開展“凈網”行動；

2、組織開展“護網”行動；

3、出臺網絡安全等級保護條例；

4、完善國家網絡安全等級保護制度。

1、依據國務院147號令，對不履行網絡安全責任義務的，進行行政處罰；

2、依據《網絡安全法》，對不落實網絡安全責任義務的，進行行政處罰；

3、依據《治安管理處罰法》，對網絡安全規定的，進行治安拘留。

4、依據《國家安全法》《反恐怖主義法》《刑法》，對網絡安全違法者進行刑事打擊；

5、對不履行網絡安全責任義務的有關部門和人員，下發整改通知、約談、罰款、治安拘留、刑事打擊。

1、與中央頂層設計、網絡安全法律法規對標對表，全面加強組織領導，認真落實中央各項要求和法律要求，落實責任制。

2、在黨委（黨組）領導下，充分發揮公安機關主力軍作用，有關部門密切配合，依法開展網絡安全保衛、保護和保障，打合成仗整體仗。

3、落實實戰化、體系化、常態化作戰機制，堅決維護網絡空間安全、網上公共安全。

4、以網絡安全等級保護為抓手，以信息通報為平臺，以情報偵查為突破，以偵查打擊為支撐，構建“打防管控”一體化的網絡安全綜合防控體系，應對網絡戰威脅。

5、以網絡安全案（事）件為主線，強化實時監測、通報預警、快速處置、追蹤溯源、態勢感知、情報信息、偵查打擊、等級保護、指揮調度。

6、全面提升網絡斗爭能力；情報偵查能力、攻擊對抗能力、綜合防御能力，偵查打擊能力，技術反制能力。

1、落實中央網信委《關于關鍵信息基礎設施安全保護工作有關事項的通知》（網信委【2019】3號）。

2、落實國家網絡安全等級保護工作協調小組辦公室下發《關于開展關鍵信息基礎設施安全保護工作的指導意見》（公網安【2019】917）。2019年7月25號召開了部署會。有關單位應按照要求，認知落實。